Schutz kontaktloser Zahlungen durch Secure Element

22 Mai 2018

Moderne Smartphones kombinieren seit Jahren erfolgreich zahlreiche Funktionen: ganz gleich ob Telefon, Kamera, Musik-Player, U-Bahn-Ticket oder mobiles Portemonnaie – Smartphones sind heutzutage Alleskönner. Natürlich lässt Sie diese Tatsache auch vermehrt über die Sicherheit der Daten, die auf Ihrem Smartphone gespeichert werden, nachdenken. In diesem Beitrag möchten wir gemeinsam mit Ihnen herausfinden, wie gut Smartphones die wertvollen Informationen ihrer Nutzer schützen und wie ihr wichtigster Sicherheitsmechanismus – ein winziger Chip namens Secure Element – funktioniert.

Secure Element

Ein spezieller Chip zum Speichern sicherer Zahlungsinformationen wurde von kontaktlosen Kreditkarten auf Smartphones migriert. Vielleicht haben Sie schon einmal von der EMV-Norm (Europay, MasterCard, Visa) gehört, die heute als zuverlässigster Standard gilt. Ihre Zahlungsinformationen werden dabei auf einem geschützten Mikrochip gespeichert, der praktisch nicht gehackt werden kann. Aus diesem Grund heißen Karten, basierend auf dem EMV-Standard, auch ganz einfach „Chipkarten“.

Das Secure Element Ihres Smartphones ist im Grunde genommen der gleiche Chip wie der, der auch bei Kreditkarten verwendet wird und besitzt ein separates Betriebssystem (ja, auch Kreditkarten haben ihr eigenes Betriebssystem, um Programme auszuführen). All Ihre Informationen werden auf diesem Chip gespeichert und können weder vom Betriebssystem des Smartphones noch vom Tablet, geschweige denn von Apps, die auf diesen Geräten installiert sind, gelesen oder kopiert werden. Secure Element funktioniert nur mit speziellen, vertrauenswürdigen Apps wie beispielsweise ausgewählten virtuellen Wallets.

Der Chip kommuniziert auf direkte Weise mit den Zahlungsterminals. Selbst wenn ein Smartphone mit Malware infiziert ist, können Hacker diese Informationen nicht abfangen, da die Daten nicht an das Hauptbetriebssystem übertragen werden, sondern immer im individuellen Secure-Element-System verbleiben.

Die Anfänge des mobilen Wallets

Die Idee, ein Smartphone mit einer Kreditkarte zu kombinieren, reicht weiter zurück, als Sie sich vielleicht vorstellen können. Die ersten Modelle mit Sicherheitsmodul waren Feature Phones, obwohl sie nie wirklich populär wurden. Erst mit der Einführung von Apple Pay wurden Mobiltelefone im Jahr 2014 zu einem echten Konkurrenten der beliebten physischen Plastikkarten.

Der Erfolg von Apple Pay weckte das Interesse seiner Mitbewerber, und so bietet auch Samsung seit 2015 einen ähnlichen Zahlungsservice an. Beide Systeme benötigen für diesen Service ein spezifisches Sicherheitsmodul (aus diesem Grund unterstützen alte iPhones und günstige Samsung-Modelle keine kontaktlosen Zahlungen).

In einem Versuch, die Funktionalität seiner Geräte zu verbessern, kaufte das koreanische Unternehmen (Entwickler der Magnetstreifen-Imitationstechnologie) LoopPay. Einige Monate später führte Google seinen Zahlungsservice Android Pay ein, der Anfang 2018 in Google Pay umbenannt wurde.

Secure Element — integriert, extern oder cloudbasiert

Im Grunde genommen muss Secure Element nicht fest in ein Smartphone integriert werden, sondern kann beispielsweise auch extern und im Speicherkartenformat hinzugefügt werden. Einige Mobilfunkanbieter stellen sogar SIM-Karten her, die Ihre Kreditkarten- oder ÖPNV-Informationen speichern können. Diese Alternativen sind allerdings nie wirklich populär geworden.

Google produziert im Gegensatz zu Apple oder Samsung in erster Linie Software für mobile Geräte und nicht die Geräte selbst. Vermutlich stieß ihr Zahlungssystem auch deshalb von Anfang an auf viele Schwierigkeiten. Anfangs gab es kaum ein Android-Smartphone, das über einen Secure-Element-Chip verfügte. Denn unabhängige Hersteller konnten nicht dazu gezwungen werden, das Sicherheitsmodul zu installieren oder Benutzer dazu gebracht werden, eine neue Karte für ihr Smartphone zu kaufen.

Google wollte einen Ausweg aus der Situation finden und versuchte anfangs seine Wallet-App mit Secure Element auf SIM-Karten zu installieren; führende amerikanische Mobilfunkbetreiber – Verizon, AT&T und T-Mobile – weigerten sich jedoch, mit dem Unternehmen zu kooperieren und fingen stattdessen an, ihre eigene App zu bewerben, die anfangs Isis Wallet hieß, später aber aus politischen Gründen in Softcard umbenannt wurde. Kurioserweise erwarb Google das System später für seine Patente.

Bevor das geschah, hatte das Unternehmen allerdings bereits eine noch elegantere Lösung für das Problem gefunden. Obwohl auf Android-Smartphones keine physischen sicheren Chips installiert waren, wurden virtuelle Chips in der Cloud erstellt. Diese Technologie wurde als Host Card Emulation (HCE) bezeichnet.

Dieses cloudbasierte System unterscheidet sich von Wallets mit integrierten Secure-Element-Chips in einer wichtigen Sache. HCE erfordert, dass das Zahlungsterminal mit dem Betriebssystem des Gadgets kommuniziert. Das Betriebssystem muss außerdem mit einem sicheren Cloud-Element, in dem Zahlungsinformationen gespeichert sind, sowie mit einer vertrauenswürdigen App Kontakt aufnehmen.

Experten sind der Meinung, dass die Verwendung von HCE technisch weniger sicher ist als die Verwendung eines echten Sicherheitsmoduls: Je öfter Daten das Internet durchqueren, desto leichter ist es, diese abzufangen. HCE enthält jedoch zusätzliche Schutzmechanismen, die dieses Problem ausgleichen. So werden beispielsweise keine dauerhaften Zahlungsschlüssel verwendet, sondern temporäre, die lediglich zum Einmalgebrauch bestimmt sind.

Fortsetzung folgt

Wir denken, dass Sie jetzt so gut wie alles über die kleine „Black Box“ Ihres Smartphones, die zum Speichern von Zahlungsdaten auf Ihrem Telefon verwendet wird, wissen. Im nächsten Artikel erfahren Sie, wie Android- und iOS-Geräte kontaktlose Bezahlsysteme basierend auf Secure Element verwenden.